我司总部现有一台MSR26-30路由器,采用固定IP接入。
有一分公司使用MSR900路由器,用大厦的内部网络上网。大厦内网是私有静态IP,大厦的外网是拨号动态IP。
该分公司MSR900作为协商的发起方,大多数时候可以正常建立IPSec,但有时却不行。
故障时在MSR26-30上执行dis ike sa,可查看到对应MSR900的IKE SA,Flag为RD RL。无相关的IPSec SA。
这个故障状态可维持非常久,直到这条IKE SA生命周期结束。
两端路由器均启用了按需DPD(interval 10,retry 5)。
如果在MSR26-30上手动删除这条IKE SA,片刻后IPSec即可恢复正常。
比如:
2008 175.161.***.*** RD|RL IPsec
<XXX-CORE01>dis ike sa verbose connection-id 2008
-----------------------------------------------
Connection ID: 2008
Outside VPN:
Inside VPN:
Profile: L2L
Transmitting entity: Initiator
Initiator COOKIE: f672027d40d88327
Responder COOKIE: 1628e73334bf00f6
-----------------------------------------------
Local IP: 218.11.***.***
Local ID type: FQDN
Local ID: XXX-CORE01-L2L
Remote IP: 175.161.***.***
Remote ID type: USER_FQDN
Remote ID: l2l@***.***
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-256
Life duration(sec): 86400
Remaining key duration(sec): 81214
Exchange-mode: Aggressive
Diffie-Hellman group: Group 5
NAT traversal: Detected
Extend authentication: Disabled
Assigned IP address:
Vendor ID index:0xffffffff
Vendor ID sequence number:0x0
之前在网上查阅了大量的资料,但都未提及IKE SA的RL(Replaced)标记到底是什么意思?
我利用类似的设备(MSR830、MSG360)搭建了实验环境,并模拟NAT网关的外网IP发生变化,但并未得到相应的测试结果。这个RL标记,需要何种条件才能产生呢?
谢谢!
(0)
最佳答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论